Google Cloud 데이터 처리 추가 조항 매핑 - 미국 주 개인 정보 보호법

최소화 및 목적 제한

기업이 소비자의 개인 정보를 수집하고 사용하는 행위는 개인 정보를 수집하거나 처리하는 목적을 달성하는 데 합리적으로 필요한 범위로 제한되어야 합니다.

고객은 서비스에 어떤 정보를 입력할지, 어떤 서비스를 사용할지, 어떻게 사용할지, 어떤 목적으로 사용할지를 결정합니다. Google은 계약 조건에 따라 서비스를 제공, 보호, 모니터링하기 위해 고객 데이터에 접근하거나 이를 사용하기 위해 최선을 다합니다.

적용 대상 주: 캘리포니아, 콜로라도, 코네티컷, 델라웨어, 플로리다, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 버지니아

CDPA 참조: CDPA 일반 약관 5.2항(고객의 지침 준수) 및 7.1.2항(접근 및 준수).

데이터 보안

기업은 개인 정보의 기밀성, 무결성, 접근성을 보호하기 위해 합리적인 관리, 기술, 물리적 데이터 보안 관행을 수립, 구현, 유지해야 합니다.

CDPA 부록 2에 설명된 보안 조치 외에도 Google은 고객이 개인 정보를 보호하기 위한 추가적인 보호 장치를 구현할 수 있는 기능을 제공합니다. 이때 고객 관리 하에 클라우드의 기능을 적절하게 구성해야 할 수 있습니다.

Google은 인프라(서비스 지원에 사용되는 하드웨어, 소프트웨어, 네트워킹, 시설)의 보안을 관리합니다. Google은 고객이 위험 평가의 일환으로 내부 제어를 검토해야 한다는 점을 알고 있습니다. 이를 지원하기 위해 Google은 운영 및 내부 제어에 대한 독립적인 인증을 제공하기 위해 최소한 1년 단위로 몇 차례의 독립적인 제3자 감사를 받습니다. Google은 계약 기간 동안 최소한 다음과 같은 주요 국제 표준을 준수할 것을 약속합니다.

• ISO/IEC 27001:2013(정보 보안 관리 시스템)
• SOC 2
• SOC 3

또한 Google은 다음 페이지에서 고객에게 Google의 보안 관행에 대한 자세한 정보를 제공합니다.

• 인프라 보안 페이지
• 보안 백서
• 클라우드 네이티브 보안 백서
• 인프라 보안 설계 개요 페이지
• 보안 리소스 페이지
• Cloud 규정 준수 리소스 페이지

적용 대상 주: 캘리포니아, 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 유타, 버지니아

CDPA 참조: 일반 약관의 7.1항(Google의 보안 조치, 통제 및 지원), 7.3항(고객의 보안 책임 및 평가), 7.4항(규정 준수 인증 및 SOC 보고서) 및 CDPA의 부록 2(보안 조치).

권리 행사로 인한 차별

기업은 권리를 행사하는 소비자를 차별해서는 안 됩니다.

이는 고객의 자체적인 비즈니스 운영에 따른 책임입니다.

적용 대상 주: 캘리포니아, 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 유타, 버지니아

CDPA 참조: 해당 사항 없음

차별적 처리

기업은 소비자에 대한 불법적 차별을 금지하는 주 및 연방 법률을 위반하여 개인 정보를 처리할 수 없습니다.

이는 고객의 자체적인 비즈니스 운영에 따른 책임입니다.

적용 대상 주: 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 테네시, 텍사스, 버지니아

CDPA 참조: 해당 사항 없음 

민감한 정보에 대한 동의 / 수신 거부 요건

기업은 소비자의 동의를 얻지 않고는 소비자와 관련된 민감한 정보를 처리할 수 없으며, 아동인 경우 COPPA에 따라 처리해야 합니다.

이는 고객의 자체적인 비즈니스 운영에 따른 책임입니다.

적용 대상 주: 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 유타, 버지니아

CDPA 참조: 해당 사항 없음 

기타 동의 의무

기업은 동의 없이 감시 목적으로 기기에서 수집한 데이터(예: 음성 또는 얼굴 인식)를 사용할 수 없습니다.

이는 고객의 자체적인 비즈니스 운영에 따른 책임입니다.

적용 대상 주: 플로리다

CDPA 참조: 해당 사항 없음 

미성년자 - 판매 / 공유 / 타겟팅 광고에 대한 동의

기업은 동의 없이 타겟팅 광고 또는 판매를 위해 미성년자의 개인 정보를 처리할 수 없습니다.

이는 고객의 자체적인 비즈니스 운영에 따른 책임입니다.

적용 대상 주: 캘리포니아, 코네티컷, 몬태나, 오리건

CDPA 참조: 해당 사항 없음 

수집 시 알림

기업은 개인 정보를 수집할 때 또는 수집하기 전에 소비자에게 고지를 제공해야 합니다.

이는 고객의 자체적인 비즈니스 운영에 따른 책임입니다.

적용 대상 주: 캘리포니아

CDPA 참조: 해당 사항 없음 

개인정보처리방침

기업은 소비자에게 개인 정보가 처리되는 방식과 소비자 권리를 설명하는 개인 정보처리방침을 제공해야 합니다.

이는 고객의 자체적인 비즈니스 운영에 따른 책임입니다.

적용 대상 주: 캘리포니아, 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 유타, 버지니아

CDPA 참조: 해당 사항 없음

기타 투명성 의무

소비자에게 제공되는 공개 정보는 접근 가능하고 이해하기 쉬워야 합니다.

이는 고객의 자체적인 비즈니스 운영에 따른 책임입니다.

적용 대상 주: 캘리포니아, 콜로라도, 플로리다

CDPA 참조: 해당 사항 없음

판매 및 타겟팅 광고 공개

기업은 개인 정보 판매 또는 타겟팅 광고를 공개하고 거부할 수 있는 방법을 제공해야 합니다.

이는 고객의 자체적인 비즈니스 운영에 따른 책임입니다.

적용 대상 주: 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 유타, 버지니아

CDPA 참조: 해당 사항 없음

익명화된 데이터 및 익명화된 데이터 처리

익명화된 데이터를 사용하는 기업은 해당 데이터를 소비자와 연관시킬 수 없도록 합리적인 조치를 취해야 하며, 익명화된 데이터의 수신자에게도 이 의무를 준수하도록 요구해야 합니다.

이는 고객의 자체적인 비즈니스 운영에 따른 책임입니다. Google은 계약 조건에 따라 서비스를 제공, 보호, 모니터링하기 위해 고객 데이터에 접근하거나 이를 사용하는 데 최선을 다합니다.

적용 대상 주: 캘리포니아, 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 유타, 버지니아

CDPA 참조: CDPA 일반 약관 5.2항(고객의 지시 준수)

데이터 보호 평가

기업은 특정 처리 활동에 대한 데이터 보호 평가를 수행해야 합니다.

Google은 고객이 데이터 보호 영향 평가를 수행하는 데 합당한 협력과 지원을 제공하기 위해 최선을 다하고 있습니다. Google Cloud Platform 또는 Google Workspace 서비스의 경우 Google의 DPIA 리소스 페이지에서 DPIA의 의미와 이러한 서비스를 사용할 때 DPIA가 필요한지 여부를 자세히 알아보세요.

적용 대상 주: 콜로라도, 코네티컷, 델라웨어, 플로리다, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 유타, 버지니아

CDPA 참조: CDPA 일반 약관 8항(영향 평가 및 자문)

개인 정보의 재판매 제한

제3자는 기업에서 구매한 개인 정보를 판매해서는 안 됩니다.

Google은 절대 고객 데이터를 판매하지 않습니다. Google은 계약 조건에 따라 서비스를 제공, 보호, 모니터링하기 위한 목적으로만 고객 데이터에 접근하거나 이를 사용합니다.

적용 대상 주: 캘리포니아

CDPA 참조: CDPA 일반 약관 5.2항(고객의 지시 준수)

교육 및 기록 보관 요구사항

기업은 소비자 문의를 처리할 수 있도록 직원을 교육하고 소비자 요청 및 응답 기록을 24개월 동안 유지해야 합니다.

이는 고객의 자체적인 비즈니스 운영에 따른 책임입니다.

적용 대상 주: 캘리포니아

CDPA 참조: CDPA 일반 약관 12.2항(Google의 처리 기록)

서비스 제공업체 또는 계약업체에 대한 개인 정보의 모든 판매, 공유 또는 공개에 대한 계약 요건

소비자의 개인 정보를 판매하는 기업은 제3자와 특정 요구사항이 포함된 계약을 체결해야 합니다.

Google은 고객 개인 정보를 구매하거나 제3자에게 판매하지 않습니다. Google은 하도급자가 Google과 동일한 높은 기준을 충족할 것을 요구합니다. 특히 Google은 하도급자가 Google과 고객 간의 계약을 준수하고, 하도급 계약의 의무를 수행하는 데 필요한 범위 내에서만 고객 데이터에 접근하고 사용하며, 하도급 의무에 대해 Google이 책임을 지는 것을 요구합니다.

적용 대상 주: 캘리포니아

CDPA 참조: CDPA 일반 약관 11.3항(보조 프로세서 참여 요건)

컨트롤러 / 프로세서 상태

특정 개인 정보 처리와 관련하여 당사자가 컨트롤러인지 또는 프로세서인지 여부는 개인 정보가 처리되는 맥락에 따라 사실에 근거하여 결정됩니다.

Google Cloud의 목적을 위해 Google은 고객 개인 정보의 프로세서 역할을 합니다. 고객은 경우에 따라 컨트롤러 또는 프로세서입니다.

적용 대상 주: 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 유타, 버지니아

CDPA 참조: CDPA 일반 약관 섹션 4.1(당사자의 역할)

계약 요건

컨트롤러와 프로세서 간의 계약은 컨트롤러를 대신하여 수행되는 처리와 관련하여 프로세서의 데이터 처리 절차를 규정합니다.

Cloud 데이터 처리 추가 조항이 포함된 고객의 계약은 고객을 대신한 처리와 관련하여 Google의 데이터 처리 절차를 규정합니다.

적용 대상 주: 캘리포니아, 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 유타, 버지니아

CDPA 참조: CDPA의 부록 1(데이터 처리의 주제 및 세부정보)

데이터 사용 제한

컨트롤러와 프로세서 간의 계약에는 데이터 처리에 대한 지침, 처리의 성격 및 처리 목적, 처리 대상 데이터의 유형, 처리 기간, 양 당사자의 권리와 의무가 명시되어야 합니다.

Google은 처리의 주제 및 기간, 처리의 성격 및 목적, 데이터 카테고리를 설명하는 부록 1을 포함한 CDPA에 따라 고객 개인 정보만 처리할 것을 약정합니다.

적용 대상 주: 캘리포니아, 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 유타, 버지니아

CDPA 참조: 일반 약관 5.2항(고객의 지침 준수) 및 7.1.2항(접근 및 준수), CDPA의 부록 1(데이터 처리의 주제 및 세부정보)

직원에게 비밀 유지 의무 부과

컨트롤러와 프로세서 간의 계약을 통해 개인 정보를 처리하는 모든 사람이 기밀 유지 의무를 준수하도록 합니다.

고객은 언제든지 Google Cloud에서 자신의 데이터(최종 사용자 데이터 포함)에 접근할 수 있습니다. Google이 고객 개인 정보와 관련하여 개인(예: 고객 최종 사용자)으로부터 요청을 받는 경우 Google의 개인 정보 보호팀은 요청자에게 Google Cloud 고객인 귀하에게 요청을 제출하도록 안내합니다. Google Cloud 고객은 내부 절차 및 요구사항에 따라 이러한 요청에 대한 응답을 관리할 수 있습니다.

적용 대상 주: 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 유타, 버지니아

CDPA 참조: CDPA의 일반 약관 7.1.2항(접근 및 규정 준수) 및 부록 2(보안 조치) 4항(직원 보안)

감사 요구사항

컨트롤러와 프로세서 간의 계약은 프로세서가 요청 시 프로세서의 의무 준수를 입증하는 정보를 기업에 제공하고 승인된 제어 프레임워크를 사용하여 매년 독립 감사를 받도록 보장합니다.

Google은 고객이 관련 보안 문서를 검토할 수 있도록 제공하고, 운영 및 내부 제어에 대한 독립적인 검증을 제공하기 위해 최소한 1년에 몇 차례씩 독립적인 제3자 감사를 받아 고객의 규정 준수를 지원합니다. Google의 규정 준수 보고서 관리자 페이지에서는 이러한 주요 규정 준수 리소스에 필요 시 손쉽게 접근할 수 있으며 추가 비용은 없습니다. 주요 리소스에는 최신 ISO/IEC 인증서, SOC 보고서, 자가 진단이 포함됩니다.

적용 대상 주: 캘리포니아, 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 버지니아

CDPA 참조: CDPA 일반 약관의 7.4항(규정 준수 인증 및 SOC 보고서) 및 7.5항(규정 준수의 검토 및 감사)

컨트롤러 의무 지원

프로세서는 기업의 지침을 따르고 기업이 처리의 특성과 프로세서가 이용할 수 있는 정보를 고려하여 소비자 권리 요청에 대응하도록 지원합니다.

Google은 CDPA 일반 조항 9항에 따라 소비자 요청이 있는 고객을 지원할 것을 약속합니다.

적용 대상 주: 캘리포니아, 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 버지니아

CDPA 참고: 위의 소비자 권리 및 기업 / 관리자 책임 섹션에서 응답을 참조하세요. CDPA 일반 약관 9항(접근 권한, 정보주체 권리, 데이터 내보내기) 및 9.2.2항(Google의 정보주체 요청 지원)

컨트롤러 의무 지원

프로세서는 기업의 지침을 따르고 기업이 처리의 특성과 프로세서가 이용할 수 있는 정보를 고려하여 개인 정보 처리의 보안과 관련하여, 그리고 보안 침해에 대한 알림과 관련하여 의무를 이행하도록 지원합니다.

Google은 무단 공개 또는 접근로부터 고객 데이터를 보호하기 위한 기술적, 조직적, 물리적 조치를 구현하고 유지합니다. Google은 고객에게 데이터 이슈에 대한 알림과 세부정보를 신속하게 제공합니다. Google은 고객에게 추가적인 보안 제어 기능도 제공합니다. 

적용 대상 주: 캘리포니아, 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 오리건, 텍사스, 유타, 버지니아

CDPA 참조: 일반 약관의 7.1항(Google의 보안 조치, 통제 및 지원), 7.1.4항(Google의 보안 지원), 7.2항(데이터 이슈), 7.2.1항(이슈 알림), 7.3항(고객의 보안 책임 및 평가), CDPA의 부록 2(보안 조치)

컨트롤러 의무 지원

프로세서의 업무 특성과 이용 가능한 정보를 고려하여 프로세서는 기업의 지침을 따르고 데이터 보호 평가를 수행하는 데 필요한 정보를 제공하여 기업를 지원합니다.

Google은 CDPA 일반 약관 8항에 따라 고객이 데이터 보호 평가를 수행하도록 지원할 것을 약속합니다. 또한 Google은 Google Cloud Platform 및 Google Workspace에 대한 DPIA 리소스 센터를 유지하여 고객을 지원합니다.

적용 대상 주: 캘리포니아, 콜로라도, 코네티컷, 델라웨어, 플로리다, 인디애나, 몬태나, 오리건, 텍사스, 버지니아

CDPA 참조: CDPA 일반 약관 8항(영향 평가 및 자문)

하도급자의 이의 제기 권리

기업이 거부할 기회가 없다면 개인 정보를 처리하는 하도급자와 계약할 수 없습니다.

Google은 고객의 편의를 위해 새로운 보조 프로세서 계약에 관한 정보와 계약 해지로 인한 이의 제기 기회를 포함한 알림을 제공합니다. Google 서비스의 일대다 특성으로 인해 Google은 각 고객의 승인 절차를 운영할 수 없습니다. Google은 하도급자가 Google과 동일한 높은 기준을 충족할 것을 요구하며, Google은 하도급 계약의 의무에 대해 책임을 집니다. 특히 Google은 하도급자가 Google과 고객 간의 계약을 준수하고, 하도급 계약의 의무를 수행하는 데 필요한 범위 내에서만 고객 데이터에 접근하고 사용하도록 요구합니다.

적용 대상 주: 콜로라도, 코네티컷, 델라웨어

CDPA 참조: CDPA 일반 약관의 11.1항(보조 프로세서 참여에 대한 동의), 11.3항(보조 프로세서 참여 요건), 11.4항(보조 프로세서에 대한 거부 권한)

서비스 종료 / 완료 시 데이터 삭제 또는 반환

컨트롤러와 프로세서 간의 계약에 따라 프로세서는 서비스 제공이 종료될 때 모든 고객 개인 정보를 반환하거나 폐기해야 합니다.

Google은 관련 법규에 따라 최대 180일 이내에 계약 기간이 종료되면 모든 고객 데이터(고객 개인 정보 포함)를 삭제합니다. Google의 데이터 삭제 절차 및 약정에 대한 자세한 내용은 CDPA 및 Google Cloud의 데이터 삭제 문서에서 확인할 수 있습니다.

적용 대상 주: 캘리포니아, 콜로라도, 코네티컷, 델라웨어, 플로리다, 아이오와, 인디애나, 몬태나, 오리건, 테네시, 텍사스, 버지니아

CDPA 참조: CDPA 일반 약관의 6.1항(고객에 의한 삭제) 및 6.2항(기간 종료 시 반환 또는 삭제)

의무를 더 이상 충족할 수 없는 경우 컨트롤러에 알림

프로세서는 더 이상 CCPA에 따른 의무를 준수할 수 없다고 판단하는 경우 기업에 이를 알려야 합니다.

Google은 관련 법률에 의해 그러한 고지가 금지되지 않는 한 CCPA에 따른 의무를 준수할 수 없는 경우 고객에게 고지합니다.

적용 대상 주: 캘리포니아

CDPA 참조: CDPA의 부록 3(특정 개인 정보 보호법)에 있는 CCPA 하위 섹션의 3항(준수)